GDPR

GDPR står for General Data Protection Regulation, på dansk også kendt som Databeskyttelsesforordningen. Det er en EU-forordning, der trådte i kraft den 25. maj 2018, og som regulerer behandlingen af personoplysninger inden for EU.

 

GDPR er en omfattende lovgivning, der stiller strenge krav til, hvordan virksomheder og organisationer indsamler, lagrer, behandler og deler personlige data om EU-borgere. Forordningen beskytter borgeres rettigheder til at kontrollere deres egne personlige data, og det kræver, at virksomheder og organisationer skal være åbne og gennemsigtige om deres databehandlingspraksis.

GDPR indeholder også krav om, at organisationer skal have passende tekniske og organisatoriske foranstaltninger på plads for at beskytte personoplysninger mod tab, ødelæggelse eller uautoriseret adgang. Derudover kan der være store bøder for overtrædelser af forordningen, op til 4% af den globale omsætning eller 20 millioner euro, alt efter hvad der er højest.

 

Hvordan overholder I GDPR reglerne

For at et firma skal overholde GDPR-reglerne, skal det først og fremmest have en klar forståelse af, hvilke personoplysninger det behandler, og hvordan disse data indsamles, lagres og deles. Derefter skal firmaet træffe passende tekniske og organisatoriske foranstaltninger for at beskytte disse data.

Her er nogle af de vigtigste trin, som et firma skal tage for at overholde GDPR-reglerne:

  1. Identificere og dokumentere personoplysninger: Firmaet skal identificere alle de personoplysninger, som det behandler, herunder navne, adresser, e-mailadresser, telefonnumre, personnumre, osv. og dokumentere, hvordan det indsamler, lagrer og behandler disse data.
  2. Informere berørte personer: Firmaet skal informere de berørte personer om, hvilke personoplysninger der behandles om dem, og hvorfor de bliver behandlet. Dette kræver normalt en privatlivspolitik, som beskriver firmaets databehandlingspraksis.
  3. Indhente samtykke: Firmaet skal indhente samtykke fra de berørte personer, før det behandler deres personoplysninger. Samtykket skal gives frivilligt og være informeret, dvs. personerne skal vide, hvad de giver samtykke til.
  4. Beskytte personoplysninger: Firmaet skal træffe passende tekniske og organisatoriske foranstaltninger for at beskytte personoplysningerne mod tab, ødelæggelse eller uautoriseret adgang. Det kan fx betyde at anvende adgangskontroller, kryptering og sikkerhedskopiering.
  5. Rapportere dataovertrædelser: Hvis firmaet oplever en dataovertrædelse, fx tab af personoplysninger eller uautoriseret adgang til data, skal det rapportere dette til Datatilsynet og eventuelt til de berørte personer inden for 72 timer.
  6. Udpege en databeskyttelsesrådgiver: Hvis firmaet behandler store mængder personoplysninger, eller hvis databehandlingen er en kerneaktivitet i virksomheden, skal det udpege en databeskyttelsesrådgiver, som kan rådgive om GDPR-overholdelse og sikre, at reglerne overholdes.
  7. Sikre overholdelse ved tredjeparter: Hvis firmaet deler personoplysninger med tredjeparter, fx cloud-udbydere eller underleverandører, skal det sikre sig, at de også overholder GDPR-reglerne.

Disse er blot nogle af de vigtigste trin, et firma skal tage for at overholde GDPR-reglerne. Det er vigtigt at bemærke, at reglerne kan variere afhængigt af firmaets størrelse og type af databehandling, så det er altid en god idé at søge rådgivning fra en ekspert inden for databeskyttelse.

 

Hvad skal der gives samtykke til

Ifølge GDPR skal der gives samtykke til behandling af personoplysninger. Dette betyder, at en virksomhed eller organisation kun må behandle en persons personoplysninger, hvis personen har givet sit informerede og frivillige samtykke til behandlingen.

Det er vigtigt, at samtykket gives specifikt til den pågældende behandling og at det er tydeligt og forståeligt, hvad personens oplysninger vil blive brugt til. Samtykket skal også være en aktiv handling fra personens side, det vil sige, at det ikke må gives som en forhåndsafkrydset boks eller som en del af en generel samtykkeerklæring, hvor personen ikke har valgt at give samtykke til den specifikke behandling.

Derudover skal personen have ret til at tilbagekalde sit samtykke til enhver tid og have mulighed for at få adgang til sine personoplysninger og korrigere eventuelle fejl eller slette dem.

Kort sagt, samtykke til behandling af personoplysninger skal være specifikt, informeret, frivilligt og aktivt fra personens side, og personen skal have rettigheder til at tilbagekalde sit samtykke og få adgang til sine oplysninger.

 

Hvad er databehandlingsaktiviteter?

Databehandlingsaktiviteter refererer til de processer, som involverer behandling af personoplysninger. Disse aktiviteter kan omfatte alt fra indsamling og registrering af personoplysninger til lagring, brug, deling, transmission, analyse og sletning af disse oplysninger.

Eksempler på databehandlingsaktiviteter kan omfatte:

  • Indsamling af personoplysninger fra en person, fx navn, adresse, telefonnummer, e-mailadresse og personnummer.
  • Registrering af personoplysninger i en database eller andet system.
  • Brug af personoplysninger til bestemte formål, fx at levere en service eller produkt.
  • Deling af personoplysninger med tredjeparter, fx underleverandører eller myndigheder.
  • Transmission af personoplysninger mellem forskellige systemer eller lande.
  • Analyse af personoplysninger for at identificere mønstre eller tendenser.
  • Sletning af personoplysninger, når de ikke længere er nødvendige eller når personen anmoder om at få dem slettet.

Det er vigtigt at identificere og dokumentere alle databehandlingsaktiviteter i en organisation for at sikre, at de overholder GDPR-reglerne. Organisationer skal også træffe passende tekniske og organisatoriske foranstaltninger for at beskytte personoplysninger mod tab, ødelæggelse eller uautoriseret adgang.

 

Hvad er databehandleraftale?

En databehandleraftale er en aftale mellem en dataansvarlig og en databehandler, som fastsætter vilkårene for behandling af personoplysninger på vegne af den dataansvarlige. Aftalen skal opfylde de krav, der er fastsat i GDPR og andre relevante databeskyttelseslove.

Den dataansvarlige er den organisation eller virksomhed, der bestemmer formålene med behandlingen af personoplysninger og måden, hvorpå denne behandling foregår. Databehandleren er den organisation eller virksomhed, der behandler personoplysninger på vegne af den dataansvarlige og på grundlag af instruktioner fra den dataansvarlige.

En databehandleraftale skal indeholde en række oplysninger, herunder:

  • Formålet med databehandlingen
  • Typen af personoplysninger, der behandles
  • Varigheden af behandlingen
  • Den dataansvarliges instruktioner for behandlingen
  • Sikkerhedsforanstaltninger for at beskytte personoplysningerne
  • Procedure for underretning af den dataansvarlige om brud på persondatasikkerheden
  • Krav til databehandlerens underdatabehandlere (hvis der er nogen)
  • Betingelser for databehandlerens opsigelse eller afbrydelse af aftalen
  • Den dataansvarliges ret til at auditere databehandlerens overholdelse af aftalen

Det er vigtigt, at en databehandleraftale er på plads, før en databehandler starter behandlingen af personoplysninger på vegne af en dataansvarlig. Aftalen sikrer, at begge parter forstår deres ansvar og forpligtelser i forhold til beskyttelse af personoplysninger og overholdelse af GDPR.

 

Eksempel på formulering af databehandleraftale

Her er et eksempel på en formulering af en databehandleraftale:

Mellem [navn på den dataansvarlige] (herefter “Dataansvarlig”) og [navn på databehandleren] (herefter “Databehandler”) indgås følgende databehandleraftale:

  1. Formål: Databehandler skal behandle personoplysninger på vegne af Dataansvarlig til det formål, som er angivet i den tilhørende kontrakt eller anden aftale mellem parterne.
  2. Oplysninger: Databehandler må behandle følgende typer af personoplysninger: [beskriv de typer af personoplysninger, som databehandleren vil have adgang til].
  3. Varighed: Behandlingen af personoplysningerne skal udføres i den periode, der er fastsat i den tilhørende kontrakt eller aftale mellem parterne.
  4. Instruktioner: Databehandler må kun behandle personoplysningerne i overensstemmelse med instruktioner fra Dataansvarlig og kun til det formål, som er angivet i den tilhørende kontrakt eller aftale mellem parterne.
  5. Sikkerhed: Databehandler skal træffe passende tekniske og organisatoriske foranstaltninger for at beskytte personoplysningerne mod tab, ødelæggelse eller uautoriseret adgang.
  6. Underdatabehandlere: Databehandler må kun anvende underdatabehandlere efter forudgående skriftligt samtykke fra Dataansvarlig og efter at have sikret sig, at underdatabehandleren har tilstrækkelige sikkerhedsforanstaltninger på plads.
  7. Brud på persondatasikkerheden: Databehandler skal underrette Dataansvarlig om enhver mistanke om eller bekræftelse på brud på persondatasikkerheden inden for 24 timer efter at have opdaget bruddet.
  8. Audit: Dataansvarlig har ret til at auditere databehandlerens overholdelse af denne aftale. Databehandler skal give Dataansvarlig de nødvendige oplysninger og samarbejde fuldt ud med audit-processen.
  9. Opbevaring og sletning: Efter afslutning af databehandlingen skal Databehandler slette eller returnere personoplysningerne til Dataansvarlig, medmindre lovgivningen kræver, at personoplysningerne skal opbevares.
  10. Ansvar: Databehandler er ansvarlig for skader, der skyldes overtrædelse af denne aftale eller lovgivningen om beskyttelse af persondata.

Undertegnet af:

Dataansvarlig: _______________________

Databehandler: _______________________

Dato: ________________________________

Scroll to Top